Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Schreib- und Leseberechtigung auf Netzwerkfreigaben

Mitglied: opalka

opalka (Level 1) - Jetzt verbinden

18.08.2011, aktualisiert 02:00 Uhr, 5835 Aufrufe, 10 Kommentare

Hallo,

irgendwie stehe ich momentan auf nem Schlau. Es geht um eine Windows-Domäne mit SBS 2011 und Windows 7/Vista-Rechnern. Um die Rechtevergabe einfacher handhaben zu können, habe ich Sicherheitsgruppen nach folgenden Muster erstellt:

- FREIGABENAME_Admin
- FREIGABENAME_Lesen
- FREIGABENAME_Schreiben

Meine Ordner bekommen nun alle 3 Sicherheitsgruppen zugewiesen und die Berechtigungen werden entsprechend gesetzt: Admin -> Vollzugriff, Schreiben -> ändern, Lesen -> lesen. Das gleiche mache ich mit den Freigaben.

Je nachdem was der Benutzer machen darf, wird er Mitglied in der Gruppe. Soweit funktioniert auch alles nach Wunsch. Nun habe ich aber ein Problem mit "verschachtelten" Sicherheitsgruppen. Nehmen wir als Beispiel einmal die Freigabe "Sonderbereiche": Sonderbereiche_Admin, Sonderbereiche_Lesen und Sonderbereiche_Schreiben wurden erstellt und Ordner- und Freigabeberechtigung entsprechend gesetzt. "Sonderbereiche" wird nun z.B. auf S: gemappt. Der Ordner/Freigabe "Sonderbereiche" enthält nun einen Ordner/Freigabe "Buchhaltung". Sicherheitsgruppen werden erstellt und Berechtigungen gesetzt, Rechte werden NICHT vererbt.

Nun zu meinen Problem: Benutzer X wird Mitglied der Gruppen "Sonderbereiche_Lesen" und "Buchhaltung_Lesen"/"Buchhaltung_Schreiben", denn der Benutzer soll auf der obersten Ebene "Sonderbereiche" nichts speichern und auch keine Ordner erstellen können. Leider kann der Benutzer trotz Schreibrechte nichts im Ordner "Buchhaltung" speichern. Erst wenn er auch Mitglied in der Gruppe "Sonderbereiche_Schreiben" geworden ist, kann er etwas speichern -> natürlich auch auf der obersten Ebene. Dies soll aber nicht passieren.

Mich stellt sich nun meine Frage, wie kann ich es verhindern?! Ich geh mal davon aus, dass mein Konzept Hand und Fuß hat und eigentlich so funktionieren sollte, nur irgendetwas habe ich verpeilt.

Gruß
Mitglied: Clijsters
18.08.2011 um 02:17 Uhr
Hallo opalka,

hast du vielleicht mit den Freigabeberechtigungen gespielt?
Ist der untergeordnete Ordner auch eine Freigabe?
Versuch doch mal Folgendes: Fraigabeberechtigungen Jeder:Vollzugriff und die NTFS ACLs wie beschrieben anpassen. Ggf. Testweise die Vererbungen reinnehmen.


Gruß
Dominique
Bitte warten ..
Mitglied: opalka
18.08.2011 um 02:31 Uhr
Hallo,

danke für Deine Antwort. In den Ordnerberechtigung ist lediglich nur noch "System" vorhanden, andere wie z.B. Authentifizierte Benutzer, Jeder etc. wurden entfernt.

Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Eingetragene Gruppen auf Ordner "Buchhaltung": Buchhaltung_Admin, Buchhaltung_Lesen, Buchhaltung_Schreiben + SYSTEM. Es werden keine weiteren Gruppen geerbt. Analog dazu die Gruppen in der Freigabe aber ohne SYSTEM. Die Sonderbereiche-Gruppen haben keinen Zugriff auf "Buchhaltung".

Warum sollte ich "Jeder" einen Vollzugriff geben, wenn es schon reicht die Sonderbereich_Schreiben-Gruppe hinzuzufügen?! Jeder hat an dieser Stelle garnichts zu suchen. Auch die Standart-ACLs haben dort meiner Meinung nach nichts zu suchen. Lediglich "System" um ein Backup durchzuführen.

Vielleicht irre ich mich ja, lasse mich gern eines besseren belehren, aber wie bereits gesagt, es reicht vollkommen die Gruppe "Sonderbereiche_Schreiben" dem Benutzer hinzuzufügen und schon kann er auch in Buchhaltung schreiben, wenn er denn über die Freigabe "Sonderbereiche" geht. Geht er direkt über die Freigabe "Buchhaltung" klappt es ja auch. Mir gehts es einfach nur darum, wie verhindere ich, dass der Benutzer auf der obersten Ebene etwas ändern/erstellen kann?!

Gruß
Bitte warten ..
Mitglied: C.R.S.
18.08.2011 um 06:34 Uhr
Hallo

Zitat von opalka:
Hallo,
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Erreichbar vielleicht, aber nach dem Text oben nicht als eigene Freigabe. In sämtlichen Ordnern, die über die Freigabe Sonderbereiche aufgerufen werden, stehen Benutzer unter ihrer diesbezüglichen Freigabeberechtigung entsprechend der Gruppenzugehörigkeit Sonderbereiche_*. Im Fall des Benutzers X ist das die Freigabeberechtigung Lesen. Da Freigabe- und Dateisystemberechtigungen auf die niedrigsten Rechte kumuliert werden, bleibt es dabei.
Bei der Freigabe musst Du dem Benutzer die höchsten innerhalb der Freigabe erforderlichen Rechte geben. Darunter wird dann über die Dateisystemrechte differenziert.

Grüße
Richard
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 07:01 Uhr
Moin,

kann ich nur noch mal bestätigen was die Vorredner schrieben:

Du musst die Freigabeberechtigung bearbeiten.

VG
Bitte warten ..
Mitglied: opalka
18.08.2011 um 08:44 Uhr
Hallo,

sorry, aber irgendwie raff ich es nicht. Wie bereits geschrieben gebe ich ja dem Benutzer die "Sonderbereiche_Schreiben"-Mitgliedschaft und dann funktioniert ja auch alles so wie es soll, bis auf das kleine Problem, dass der Benutzer auch auf der obersten Ebene schreiben kann und genau dies will ich nicht.

Ich formuliere das ganze vielleicht noch einmal um: Wie verhindere ich, dass ein Benutzer mit Schreibrechten auf einer Freigabe schreiben kann? Er soll ja ersten auf der zweiten Ebene schreiben dürfen, also in den Unterordnern wie z.B. Buchhaltung, Verwaltung etc.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 09:39 Uhr
HI,

du musst doch unterscheiden zwischen:

Freigabeberechtigung die stellst du im Reiter Freigabe unter Berechtigungen ein und
NTFS Sicherheit die stellst du unter Sicherheit ein.

Nun sag uns doch mal wie die Freigabeberechtigungen aussehen von der obersten Freigabe.

VG
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 09:39 Uhr
Setze Freigabe: jeder auf ändern. Und die Ordner über die NTFS-Rechte absichern. Das macht den Unterschied.
Bitte warten ..
Mitglied: opalka
18.08.2011 um 09:59 Uhr
Danke @C.R.S, das war der entscheidene Tipp

Habe nun das Problem gelöst. Ich habe nun 2 Arten von Sicherheitsgruppen erstellt, und zwar einmal für die Ordner-Ebene und einmal für die Freigabeebene:

- ordner_sonderbereiche_admin
- ordner_sonderbereiche_lesen
- ordner_sonderbereiche_schreiben

- freigabe_sonderbereiche_admin
- freigabe_sonderbereiche_lesen
- freigabe_sonderbereiche_schreiben

Benutzer X wird nun Mitglied in "freigabe_sonderbereiche_schreiben", jedoch nicht in "ordner_sonderbereiche_schreiben". Somit hat er zwar das Recht auf die Freigabe zu schreiben, dies wird dann aber auf Ordnerebene abgeblockt.

Ist zwar doppelte Arbeit, aber wenn es erst einmal umgesetzt ist, dann ist es sehr nützlich.

Gruß
Bitte warten ..
Mitglied: opalka
18.08.2011 um 10:01 Uhr
@DerWoWusste

oder man macht es so, dann brauche ich auch nicht die doppelten Sicherheitsgruppen.

Das Jeder hatte mir nur zu schaffen gemacht, aber ist ja blödsinn, da die Ordnerrechte ja alles abblocken, was nicht sein soll.

Hab mal wieder viel zu kompliziert gedacht.

Danke für Eure Hilfe.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 10:16 Uhr
Gerne ....

FülltextFülltext
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange-Tool: Nur Leseberechtigung auf ein eingebundenes Outlook-Postfach

gelöst Frage von HeuristikerExchange Server7 Kommentare

Guten Morgen zusammen, ich hätte gerne gewusst, ob die Möglichkeit besteht, einer AD-Gruppe innerhalb der Exchange-Verwaltungskonsole nur (!) Leseberechtigungen ...

Windows 7

Netzwerkfreigabe wieder verwerfen

Frage von MikuboWindows 72 Kommentare

Ich habe mal eine Frage, bzgl. dem entfernen einer Netzwerkfreigabe. Wir haben ein ADC und die diversen Rechner sind ...

Netzwerkgrundlagen

Kein Zugriff auf kennwortgeschützte Netzwerkfreigabe

Frage von BananenbiegerNetzwerkgrundlagen9 Kommentare

Hallo, ich habe ein recht komplexes problem: Ich kann mit meinem Hauptrechner nicht auf eine kennwortgeschützte Freigabe meines NAS-Systems ...

Linux Netzwerk

Windows Netzwerkfreigaben unter Ubuntu 14.04

Frage von hildefeuerLinux Netzwerk2 Kommentare

Ich bin Gelegenheit Linux user! Hauptsächlich in fremden WLAN Netzen und bei Hombanking. (Nur) Mit Ubuntu 14.04 kann man ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 2 TagenSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 2 TagenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 2 TagenWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 3 TagenHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
Windows 10
Programm unter Windows 10 automatisch mit administrativen Rechten starten
Frage von GrafmulderWindows 1016 Kommentare

Hallo zusammen! Zur Situation: Ich benutze Windows 10 Pro für Workstations (Build 1803) mit zwei Konten. Einem Administratorkonto und ...

Windows Server
Cisco Annyconnect Secure Mobility Client - Windows2003 Server unable to connect
Frage von novregenWindows Server11 Kommentare

Von einem Windows 2003 Server soll eine Verbindung über Cisco Anyconnect Mobility Client zu einer Gegenstelle aufgebaut werden. Die ...

Microsoft
Schulungs-Microsoft-Konten zentral verwalten
Frage von thejarneMicrosoft9 Kommentare

Hallo zusammen, wir haben bei uns in der Firma 12 Computer-Arbeitsplätze für EDV-Schulungen, wo u.A. auch Computer-Basics-Kurse (wie verwende ...

LAN, WAN, Wireless
Empfehlung Powerline Adapter
Frage von AgilolfingerLAN, WAN, Wireless9 Kommentare

Hallo Zusammen, ich brauche eine Empfehlung von euch. Ich möchte in einem privaten Haushalt eine Powerline Lösung einrichten. Allerdings ...